标准模型
SSE-CMM(系统安全工程能力成熟模型),是一种用于衡量组织机构的安全工程能力的过程能力的方法。
SSE-CMM确定了一个评价安全工程实施的综合框架,提供了度量与改善安全工程学科应用情况的方法,也就是说,对合格的安全工程实施者的可信性,是建立在对基于一个工程组的安全实施与过程的成熟性评估之上的。
本标准规定了计算机系统安全保护能力的五个等级,即:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
信息安全文件专家是信息安全文件的行政协调者,有点类似图书管理员。该专家负责策略、程序、标准、基础结构、表格和其他有利于信息安全的有关文件的更新和维护。他或她在内部网上组织此类资料,或协助确保将这些文件的最新版本发布给需要使用的人员。该专家的工作不是带头对新的或改进的信息安全要求进行鉴别,而是进行专门研究,以协助信息安全部经理和其他人做出这方面的决策[注意担任此职位的人不参与信息系统应急计划的更新或改变]
信息安全工程师为各种多用户信息安全系统,例如虚拟专用网(VPN)的设计、安装、操作、服务和维护提供技术帮助。作为在一线工作的技术专家,工程师将负责组建安全系统所必需的一些复杂而具体的技术工作,如防火墙、密码型数字签名等。工程师负责设定和配置信息安全系统,如防火墙,或培训访问控制系统管理员、系统管理员、网络管理员和/或数据库管理员来完成上述任务
内部信息安全顾问对与有关信息安全的议论焦点、关注事项和问题等广泛内容提供业务技术建议,确保公司内部开发的或外单位为X公司开发的所有业务应用软件都包含有控制措施。作为公司内部课题专家,内部信息安全顾问与公司的所有委员会和任务组协力合作,尽力帮助改善X公司信息系统安全。作为信息安全部的内部代言人,该顾问负责寻求对信息安全要求的广泛支持和普遍遵守 [大型单位也许有若干个信息安全顾问,每人专门负责一定领域,如电子商务、台式电脑、远程办公和移动办公或安全系统的开发。如果该职位被进一步划分成不同的工作,其任务也应进行相应划分。需要动手做的具体技术工作一般由信息安全工程师完成。]
访问控制系统管理员管理用户对信息技术部管理的共享计算机和网络系统的访问控制特权。该管理员负责保持计算机内部记录是准确和最新的。这些记录反映用户的联系情况、当前用户的特权以及这些用户的管理授权情况。如果有人员更换工作或离开X公司,该管理员还负责立即终止其用户特权。一般来说,该管理员负责即时更新访问记录,以便员工只是在工作需要时才能访问X公司的计算机及网络系统
信息安全部经理指导、协调、计划和组织整个X公司的信息安全活动。他或她是与内部工作人员和第三方进行有关信息安全的所有联系的主要联络人。该经理与来自单位各不同部门的各种人一起工作,以此来证明不同的人一起工作也可实行有效控制,同时也是一种对当前和未来的信息安全风险的前摄性措施。